Aller au contenu


Update 8.7 vers 8.8.8 : Je me lance


  • Veuillez vous connecter pour répondre
28 réponses à ce sujet

#1 vdagost

vdagost

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 510 messages
  • LocalisationLyon

Posté 03 avril 2018 - 14:04

Salut,

Quelqu'un aurait-il ou serait-il intéressé par un retour d'expérience sur la montée de version 8.7.3 vers 8.8.8 en multi-stores ?

Victor
Zimbra 8.7.3 OSS + Zextras
11000 utilisateurs (10 stores)
RHEL 6

#2 wolfy

wolfy

    Zimbra Jedi

  • Modérateurs
  • 533 messages
  • LocalisationRouen, France

Posté 04 avril 2018 - 08:59

A mon avis tout le monde :)
___
Senior Solution Advisor EMEA chez Vade Secure

#3 vdagost

vdagost

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 510 messages
  • LocalisationLyon

Posté 04 avril 2018 - 09:51

Déjà ça commence mal :

Citation

8.8 requires the installation of the proxy server on all setups

Sur toutes les installation Zimbra ?
Je pense que le mot vague "setup" est trompeur et qu'il faut en réalité installer le proxy Zimbra sur les content-store uniquement.

Moi qui administre une magnifique plateforme multi-serveurs à 17 serveurs Zimbra dont 2 proxy et 10 stores j'ai déjà du boulot avant de lancer l'installation :D
Zimbra 8.7.3 OSS + Zextras
11000 utilisateurs (10 stores)
RHEL 6

#4 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 242 messages
  • LocalisationPlanète Terre

Posté 04 avril 2018 - 10:35

Pour ma part pas de nouvelle MAJ je pense avant qu'il y ait une nouvelle interface.
Je suis un peu dégoûté de l'abandon de l'Universal UI. Je l'utilise au quotidien sur de 2 de mes plateformes personnelles dont
une en split node.
:angry:
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)9 81 76 22 90 / mail : guy.carre@capensis.fr
http://www.capensis.fr / http://www.canopsis.com / https://community.capensis.org

#5 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 263 messages
  • LocalisationBeaucaire - Gard

Posté 05 avril 2018 - 06:01

"on all setups" = "sur tous les types d'infras" (du mono au multi-serveurs)
Un seul proxy est nécessaire pour une infra multi-store. Deux si on faut faire du failover/loadbalancing.

Va y avoir une toute nouvelle interface en ReactJS. Il parait.

#6 vdagost

vdagost

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 510 messages
  • LocalisationLyon

Posté 05 avril 2018 - 09:02

Voir le messageKlug, le 05 avril 2018 - 06:01, dit :

"on all setups" = "sur tous les types d'infras" (du mono au multi-serveurs)
Un seul proxy est nécessaire pour une infra multi-store. Deux si on faut faire du failover/loadbalancing.

Va y avoir une toute nouvelle interface en ReactJS. Il parait.

ah ? Ca voudrait dire que si j'ai déjà deux proxy zimbra et des stores sans le rôle proxy alors je n'ai pas besoin d'installer le rôle proxy sur mes stores ?
Zimbra 8.7.3 OSS + Zextras
11000 utilisateurs (10 stores)
RHEL 6

#7 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 242 messages
  • LocalisationPlanète Terre

Posté 05 avril 2018 - 09:03

La nouvelle UI en ReactJs c'est le nouveau projet Bêta qui doit sortir ce mois ci le 16.
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)9 81 76 22 90 / mail : guy.carre@capensis.fr
http://www.capensis.fr / http://www.canopsis.com / https://community.capensis.org

#8 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 242 messages
  • LocalisationPlanète Terre

Posté 05 avril 2018 - 09:04

@vdagost : Non.
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)9 81 76 22 90 / mail : guy.carre@capensis.fr
http://www.capensis.fr / http://www.canopsis.com / https://community.capensis.org

#9 vdagost

vdagost

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 510 messages
  • LocalisationLyon

Posté 05 avril 2018 - 09:05

Voir le messageZimbra Guy, le 05 avril 2018 - 09:04, dit :

@vdagost : Non.
Ok bonne nouvelle ça va me faire gagner du temps :)

Les upgrade notes ne m'ont rien appris de spécial car j'avais suivi à la lettre la procédure pour passer de 8.6 à 8.7.

Je vais donc faire :
0 - Prérequis notamment un backup des cron pour faire un diff après, vérification de l'intégrité des bases MariaDB des serveurs stores, etc ...
1 - Arrêt de la sauvegarde temps réel, arrêt des flux smtp entrants et snapshot
2 - Mise à jour des serveurs LDAP master/master
3 - Mise à jour du serveur MTA
4 - Mise à jour des serveurs Proxy
5 - Mise à jours des serveurs stores
6 - Réinstallation du thème et tests/réactivation des zimlets
7 - Mise à jour de Zextras (le cas échéant)
Zimbra 8.7.3 OSS + Zextras
11000 utilisateurs (10 stores)
RHEL 6

#10 vdagost

vdagost

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 510 messages
  • LocalisationLyon

Posté 05 avril 2018 - 13:29

J'ai appliqué à peu de chose près la même procédure que lors de la mise à jour 8.6 vers 8.7.

Premier soucis : J'ai une zimlet avec du jsp qui ne fonctionne plus.

Le code jsp suivant qui fait appelle aux bibliothèques java de Zimbra :
AuthToken token = AuthToken.getAuthToken(authTokenStr);

Lève l'erreur de compilation suivante :

Citation

2018-04-05 14:19:29.781:WARN:oejs.ServletHandler:qtp998351292-97:https:https://lxlyofcs321.MyCompany.dom/service/zimlet/com_MyCompany_fidushare/com_MyCompany_fidushare_CheckRights.jsp?url=https%3A%2F%2Flxlyodev30.MyCompany.dom%2Ffs3%2Fmakezimlink:
org.apache.jasper.JasperException: Unable to compile class for JSP:
An error occurred at line: 74 in the jsp file: /com_MyCompany_fidushare/com_MyCompany_fidushare_CheckRights.jsp
AuthToken cannot be resolved to a type|71: ??while(true);|72: ?}|73: ?|74: ?AuthToken token = AuthToken.getAuthToken(authTokenStr);|75: ?Provisioning prov = Provisioning.getInstance();|76: ?Account account = prov.get(AccountBy.id, token.getAccountId());|77: ?String mailaddress = account.getAttr(Provisioning.A_mail);|||

Stacktrace:
at org.apache.jasper.compiler.DefaultErrorHandler.javacError(DefaultErrorHandler.java:102)
at org.apache.jasper.compiler.ErrorDispatcher.javacError(ErrorDispatcher.java:198)
at org.apache.jasper.compiler.JDTCompiler.generateClass(JDTCompiler.java:450)
at org.apache.jasper.compiler.Compiler.compile(Compiler.java:361)
[...]

Le type AuthToken n'existe plus. Mais jsp est bien enabled et j'ai bien le raccourci vers les lib java.

Par rapport à la 8.7 il manque sur cette 8.8 les fichiers jar zm-client, zm-soap, zm-store qui sont dans /opt/zimbra/lib/jars/ sous un autre nom qu'auparavant dans /opt/zimbra/jetty/webapps/zimbra/WEB-INF/lib/.

Solution : Pour que les zimlets en jsp refonctionnent il ne faut plus faire :
ln -s /opt/zimbra/jetty/webapps/zimbra/WEB-INF/lib/ /opt/zimbra/jetty/webapps/zimlet/WEB-INF/lib
Mais faire à la place :
ln -s /opt/zimbra/lib/jars/ /opt/zimbra/jetty/webapps/zimlet/WEB-INF/lib

Erratum : Lier tout le répertoire lib/ n'est pas la bonne solution car des classes seront référencées plusieurs fois (voir 3eme soucis pour comment lier que les .jar nécessaires).
Zimbra 8.7.3 OSS + Zextras
11000 utilisateurs (10 stores)
RHEL 6

#11 vdagost

vdagost

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 510 messages
  • LocalisationLyon

Posté 05 avril 2018 - 16:23

Second soucis : Une de mes zimlet n'arrive pas à communiquer en HTTPS avec un de mes serveurs

Exception : javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException:
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Pourtant le certificat SSL du serveur distant est valide et il est certifié par la même CA que les certificats en place sur le Zimbra.
Cette CA est présente dans le keystore /opt/zimbra/mailboxd/etc/keystore, mais n'est pas présente dans le truststore /opt/zimbra/common/etc/java/cacerts.

Solution : Ajouter les CA dans le truststore alors qu'auparavant le keystore suffisait
keytool -import -keystore /opt/zimbra/common/etc/java/cacerts -trustcacerts -file /tmp/CA.crt
zmcontrol restart

Zimbra 8.7.3 OSS + Zextras
11000 utilisateurs (10 stores)
RHEL 6

#12 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 242 messages
  • LocalisationPlanète Terre

Posté 06 avril 2018 - 09:01

essaie en modifiant le localconfig afin qu'il accepte les certificats dont il ne connaît pas l'autorité.
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)9 81 76 22 90 / mail : guy.carre@capensis.fr
http://www.capensis.fr / http://www.canopsis.com / https://community.capensis.org

#13 vdagost

vdagost

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 510 messages
  • LocalisationLyon

Posté 06 avril 2018 - 09:06

Troisième soucis : Impossible de récupérer les informations d'un compte en jsp : package is sealed

Le code :
AuthToken token = AuthToken.getAuthToken(authTokenStr);
Provisioning prov = Provisioning.getInstance();
Account account = prov.get(AccountBy.id, token.getAccountId());
String mailaddress = account.getAttr(Provisioning.A_mail);

Lève l'erreur :

Citation

06 Apr 2018 10:03:20,986 [util.Log][qtp998351292-16:https:https://lxlyofcs321.MyCompany.dom/service/zimlet/com_MyCompany_fidushare/com_MyCompany_fidushare_CheckRights.jsp?url=https%3A%2F%2Flxlyodev30.MyCompany.dom%2Ffs3%2Fmakezimlink] :: ERROR   could not instantiate Provisioning interface of class 'com.zimbra.cs.account.ldap.LdapProvisioning'; defaulting to LdapProvisioning
java.lang.SecurityException: sealing violation: package com.unboundid.ldap.sdk is sealed
at java.net.URLClassLoader.getAndVerifyPackage(URLClassLoader.java:399)
at java.net.URLClassLoader.definePackageInternal(URLClassLoader.java:419)
at java.net.URLClassLoader.defineClass(URLClassLoader.java:451)
at java.net.URLClassLoader.access$100(URLClassLoader.java:73)
at java.net.URLClassLoader$1.run(URLClassLoader.java:368)
[...]

06 Apr 2018 10:03:21,706 [util.Log][qtp998351292-16:https:https://lxlyofcs321.MyCompany.dom/service/zimlet/com_MyCompany_fidushare/com_MyCompany_fidushare_CheckRights.jsp?url=https%3A%2F%2Flxlyodev30.MyCompany.dom%2Ffs3%2Fmakezimlink] :: ERROR   defaulting to com.zimbra.cs.account.ldap.LdapProvisioning

Ce qui signifie que la classe Provisioning est définie dans plusieurs .jar disponibles dans le classpath.
Le fichier .jar unboundid-ldapsdk-2.3.5.jar est référencé plusieurs fois à cause du lien symbolique que j'ai mis en place pour régler mon premier soucis.

Solution : Ne pas lier le répertoire lib avec tous les fichier .jar, mais seulement ceux utiles pour ses zimlets. Dans mon cas zimbrasoap,client et store :

rm -f /opt/zimbra/jetty/webapps/zimlet/WEB-INF/lib
mkdir /opt/zimbra/jetty/webapps/zimlet/WEB-INF/lib/
ln -s /opt/zimbra/lib/jars/zimbrasoap.jar /opt/zimbra/jetty/webapps/zimlet/WEB-INF/lib/zimbrasoap.jar
ln -s /opt/zimbra/lib/jars/zimbraclient.jar /opt/zimbra/jetty/webapps/zimlet/WEB-INF/lib/zimbraclient.jar
ln -s /opt/zimbra/lib/jars/zimbrastore.jar /opt/zimbra/jetty/webapps/zimlet/WEB-INF/lib/zimbrastore.jar
chown -R zimbra:zimbra /opt/zimbra/jetty/webapps/zimlet/WEB-INF/lib/

Zimbra 8.7.3 OSS + Zextras
11000 utilisateurs (10 stores)
RHEL 6

#14 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 263 messages
  • LocalisationBeaucaire - Gard

Posté 06 avril 2018 - 10:11

Voir le messageZimbra Guy, le 05 avril 2018 - 09:03, dit :

La nouvelle UI en ReactJs c'est le nouveau projet Bêta qui doit sortir ce mois ci le 16.
Ca arrive : https://github.com/Zimbra/zm-x-web
Le docker pour s'en servir est sorti aussi : https://github.com/s...zm-x-web-docker

#15 vdagost

vdagost

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 510 messages
  • LocalisationLyon

Posté 06 avril 2018 - 13:47

4eme soucis : L'authentification par LDAP externe ne fonctionne plus

J'utilise un annuaire LDAP externe pour authentifier les utilisateurs.
Après le passage en 8.8 la connexion en LDAP avec STARTTLS ne fonctionne plus alors qu'elle fonctionnait en 8.7 et que le certificat de l'annuaire est récent, valide et certifié par la même CA que les serveurs Zimbra.

Citation

LDAPException(resultCode=81 (server down), errorMessage='The connection reader was unable to successfully complete TLS negotiation:  javax.net.ssl.SSLKeyException: Invalid signature on ECDH server key exchange message')

Solution de contournement :
zmprov md domaine1 zimbraAuthLdapStartTlsEnabled FALSE
zmprov fc all

Zimbra 8.7.3 OSS + Zextras
11000 utilisateurs (10 stores)
RHEL 6

#16 vdagost

vdagost

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 510 messages
  • LocalisationLyon

Posté 06 avril 2018 - 15:35

J'ai continué mes tests cette après-midi et je constate que sur le webmail Zimbra 8.8.8, il y a une exception levée lorsqu'on invite un utilisateur hébergé sur un autre store zimbra.

Plus d'informations ici : https://bugzilla.zim...g.cgi?id=108925

L'exception a lieu au moment de valider l'événement à l'aide du bouton Envoyer.
Modifier un événement existant avec un invité sur un autre store génère également l'anomalie.

Je ne sais pas à quoi sert l'appel SOAP CheckRightsRequest dans le cadre d'une invitation donc difficile de calculer l'impact de cette anomalie.
L'invitation iCalendar part bien et est fonctionnelle. Les invités peuvent accepter/refuser cette invitation et l'organisateur peut annuler sa réunion.

Victor
Zimbra 8.7.3 OSS + Zextras
11000 utilisateurs (10 stores)
RHEL 6

#17 vdagost

vdagost

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 510 messages
  • LocalisationLyon

Posté 10 avril 2018 - 15:13

-
Zimbra 8.7.3 OSS + Zextras
11000 utilisateurs (10 stores)
RHEL 6

#18 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 242 messages
  • LocalisationPlanète Terre

Posté 11 avril 2018 - 10:45

@vdagost :

Citation

LDAPException(resultCode=81 (server down), errorMessage='The connection reader was unable to successfully complete TLS negotiation:  javax.net.ssl.SSLKeyException: Invalid signature on ECDH server key exchange message')

Ce serait pas un problème de lié à la clef Diffie Hellman ? Si ça tombe tu es en 1024 bits et il faudrait passer en 2048 min. C'est peut-être en relation avec le renforcement de la sécurité et tout le touteam.

@Klug :
J'ai trop la flemme pour un docker, je vais encore un peu attendre. Par contre j'ai regardé ici :
https://beta.lonni.me/
C'est apparemment la nouvelle interface et pour le coup ils ont mis un fond de type Nextcloud. Coïncidence ?
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)9 81 76 22 90 / mail : guy.carre@capensis.fr
http://www.capensis.fr / http://www.canopsis.com / https://community.capensis.org

#19 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 263 messages
  • LocalisationBeaucaire - Gard

Posté 11 avril 2018 - 12:36

Je me suis inscrit pour la beta, on va voir si je reçois une invit'...

#20 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 242 messages
  • LocalisationPlanète Terre

Posté 12 avril 2018 - 08:18

Me too
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)9 81 76 22 90 / mail : guy.carre@capensis.fr
http://www.capensis.fr / http://www.canopsis.com / https://community.capensis.org




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)